SKT, '유심정보 해킹' 최초 인지는 18일…24시간 내 보고 규정 위반

서울 을지로에 위치한 SKT 타워 전경.ⓒSK텔레콤

가입자 정보를 해킹당한 SK텔레콤이 데이터 이동 사실을 최초로 인지한 시점이 기존 발표한 19일보다 하루 빨랐던 것으로 파악됐다. 사고 인지 24시간 이내에 신고해야 하는 규정을 위반한 것이다.

24일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원이 SK텔레콤으로부터 받은 자료에 따르면, 이 회사는 지난 18일 오후 6시 9분 의도치 않게 사내 시스템 데이터가 움직였다는 사실을 최초로 인지했다.

이어 같은 날 오후 11시 20분 악성코드를 발견, 해킹 공격을 받았다는 사실을 내부적으로 확인했고 다음 날인 19일 오전 1시 40분 어떤 데이터가 빠져나갔는지 분석하기 시작했다.

SK텔레콤은 어떤 종류의 데이터가 빠져나갔는지 분석 끝에 22시간 만인 같은 날 오후 11시 40분쯤 해커에 의한 악성 코드로 이용자 유심과 관련한 일부 정보가 유출된 정황을 확인했다.

최 의원실에 보고된 SK텔레콤의 한국인터넷진흥원(KISA) 신고 시점은 오후 4시 46분이다. 사건 최초 인지 시점인 18일 오후 6시와는 45시간 차이가 난다.

해킹 공격으로 판단한 18일 오후 11시 20분을 기준으로 해도 만 하루를 넘긴 시점에 신고한 것이다.

정보통신망법은 정보통신서비스 제공자가 침해사고가 발생한 것을 알게 된 때로부터 24시간 이내에 침해사고의 발생 일시, 원인 및 피해 내용 등을 과학기술정보통신부장관이나 KISA에 신고해야 한다고 규정하고 있다.

KISA도 최 의원실에 SK텔레콤이 24시간 내 해킹 공격을 보고해야 하는 규정을 위반했다고 밝혔다.

최 의원은 "SK텔레콤 해킹 사건 발생 이후 소비자 우려가 커지고 있다. 국회 차원에서 침해 사고로 인한 피해 확산을 막고 재발을 막기 위한 방안을 마련하겠다"고 말했다.

SK텔레콤 측은 "침해 사고로 자체 판단한 이후 24시간 내에 KISA에 침해 사고 신고를 하지 못한 부분은 사안의 중대성을 고려해 침해사고 신고에 필요한 최소한의 발생 원인과 피해 내용을 좀 더 철저하게 파악하는 과정에서 신고가 늦어진 것이며, 고의적인 지연 의도는 없었다"고 설명했다.